Pages - Menu

Страницы

15.12.20

Что еще обещала ФСТЭК в начале года?.. И что из этого (не)сделала?

Ну и чтобы закрыть тему с анализом обещаний регулятора (вот ФСБ хорошо - они ничего не обещают публично и поэтому у них и анализировать что-то бессмысленно), посмотрим на выступление Виталия Сергеевича Лютикова на февральской конференции ФСТЭК, где заместитель директора главного ИБшного регулятора показал всем куда идти идет прогрессивная мысль. В отличие от прежних выступлений, в этот раз не только были показаны проблемы, но и предельно конкретно сформулированы задачи ведомства на ближайшее время. Правда без указания сроков, но обычно это краткосрочный горизонт в один год - от конференции до конференции. И хотя до следующей конференции еще пара месяцев (если она вообще случится), я подвести промежуточные итоги и  посмотреть, что из обещанного было реализовано.


Чтобы было проще я свел все озвученные задачи в таблицу - получилось 15 пунктов. На первом месте закономерно находится обещанная методика моделирования угроз, которую уже перестали даже обещать. В феврале обещали выпустить в течение месяца. Потом случился COVID-19, которые обнулил все обещания, и следующий раз представитель ФСТЭК о методике говорил уже в сентябре, указав, что при разработке документа вновь выявились противоречия у его разработчиков. На недавнем "Цифровом предприятии" выход методики и вовсе отложили на следующий год. Жаль...  

Про переработку банка данных угроз изначально говорили, что работа предстоит непростая и раньше, чем через год ждать ее не стоит. Поэтому в таблице я поставил "в процессе". Хотя при отсутствии утвержденной методики (то есть подхода к моделированию), говорить о банке данных угроз вообще преждевременно. Также как и о подготовке кадров в части моделирования угроз. Учить еще нечему. Соответственно нет и средства автоматизации моделирования угроз (пока у ФСТЭК есть только сканер ScanOVAL для Windows и Linux. Еще два мероприятия в области моделирования угроз также не реализованы (хотя Твиттер у ФСТЭК с публикацией данных об уязвимостях исправно работает уже не первый год). 

Что такое "усиление мер по выявлению событий безопасности" я и тогда не понимал, и сейчас. Может быть речь идет о проекта ГОСТа по ГосСОПКЕ, по мониторингу ИБ или регистрации событий ИБ? Короче, ХЗ... Тот же статус у методичек по аттестации. Хотя, может их просто закрыли от публичного взора и сделали ДСП.

О дифференциации требований по защите в зависимости от архитектуры ИС (АРМ, ЛВС, ИТКС,  ЦОД) ничего не слышно - по идее все это надо вносить в действующие приказы ФСТЭК, 17-й, 21-й, 31-й, 31-й (закрытый), 239-й, но никаких проектов по ним тоже не выкладывали на общественное обсуждение (а именно в этих приказах надо вносить изменения или ссылаться из них на эти изменения).

Вот с совершенствованием порядка сертификации у нас все в порядке. Вместо 131-го вышел 76-й приказ (о чем, похоже, забыли оповестить тот же Банк России, который в выпущенном позже положении 719-П ссылается на 131-й приказ, который к моменту вступления 719-П в силу уже прекратит свое существование). Приказ с одной стороны, вроде как и не меняет кардинально ничего, а с другой - перекладывает большинство работ с испытательных лабораторий на заявителей. Может потому, что задачу повышения квалификации работников ИЛ и качества работы ИЛ реализовать пока не удается? Не знаю. С нормативными документами, описывающими процедуры и порядки действий у нас в стране вообще все неплохо. Что делать, у нас знают (не всегда знают КАК, но это уже детали). 

Разработка новых и совершенствование имеющихся РД по разным типам средств защиты у нас все плохо - ни один план, как я писал вчера, так и не был реализован. Та же ситуация и с свершенствованием методической помощи при сертификации. Видимо, все силы соответствующего управления ФСТЭК брошены были на 76-й приказ и на все остальное сил просто не осталось. А может и с частью народа пришлось расстаться и он ушел в 8-е Управлении ФСТЭК по КИИ. Кто знает?.. Но факт есть факт - с разработкой обещанных нормативных документов регулятор не справился.

Вот с безопасным программированием все пока в порядке. ГОСТы пишутся и их немало. Да, пока они не внедрены в полном объеме у разработчиков средств защиты и не совсем понятно, как их соблюдение проверять у субъектов КИИ, от которых это теперь требуется согласно поправкам в 239-й приказ, но лед тронулся.

Если бы ФСТЭК была открытым акционерным обществом и ее акции котировались бы на бирже, то аналитики за такие прогнозы и невыполненный обещания вмиг бы уронили акции компании. Но ФСТЭК у нас регулятор, живущий на деньги граждан и бизнеса государства, и ни на какую биржу она не пойдет и бояться невыполненных обещаний ей не надо. Поэтому остается только надеяться, что после изменения Конституции регулятор не стал считать, что всего его обещания обнуляются и он может начать жизнь с чистого листа... 

ЗЫ. Регулятору бы вернуться к идее краудсорсинга и привлечения экспертов к работе над своими документами. Причем в условиях пандемии к работе вв удаленном режиме. Кредит доверия у регулятора пока еще не исчерпан и найдутся те, кто готов будет помогать регулятору в его благом деле повышения защищенности Российской Федерации и делать это бесплатно. Тем более, что у регулятора всегда есть способы поощрения особо отличившихся помощников - от указания на официально сайте (как это делается с исследователями уязвимостей) и выдачи благодарности за подписью директора ФСТЭК (как не смешно, но этот "приятный пустячок" ценится отдельными специалистами) до выдачи знака отличия "За заслуги в защите информации" или награждения медалью ФСТЭК России "За укрепление государственной системы защиты информации" I или II степени.

ЗЗЫ. На конференции регулятор упоминал, что он внимательно посмотрел мои предложения по улучшению нормативных документов и связанныз с ней деятельностью ФСТЭК (раз, два, три и четыре) и даже что-то готов реализовывать, но я так пока и увидел, где и как они это реализуют (про привязку угроз к защитным мерам выше я написал).

14.12.20

Как ФСТЭК выполняет свои обещания. Анализ за 6 лет

На прошедшем на прошлой неделе эфире AM Live, посвященном средствам защиты от несанкционированного доступа, был поднят вопрос о том, зачем нужны средства защиты, которые покупаются преимущественно госорганами для выполнения "бумажных" требований, которые, при этом, не менялись с 1992-го года (да, РД на СВТ не менялся уже почти 30 лет). На это поступило возражение, что для современных систем защиты, которые уже ближе к решениям класса EPP по версии Gartner (Endpoint Protection), при сертификации применяются либо набор из РД (по СВТ, по МСЭ, по антивирусам, по контролю съемных носителей), либо продукт сертифицируется по заданию по безопасности (оно же техническое задание), которое разрабатывается специально под решение и которое описывает весь включаемый в область действия сертификации функционал. И вот тут я подумал, что если ФСТЭК не может обновить свой документ 1992-го года, то как вообще обстоит дело с требованиями к различным средствам защиты, которые должны использоваться при сертификации и которые упоминаются во всех требованиях ФСТЭК по защите ИСПДн, ГИС, АСУ ТП, КИИ и других объектов защиты (дспшные требования)?

Я поступил просто - взял презентации выступлений руководителей ФСТЭК за последние 6 лет, прозввучавшие на февральской конференции регулятора, проводимой в рамках ТБ Форума. То есть никакой отсебятины - одни факты. Вначале, в 2015-м и 2016-м годах ФСТЭК очень активно давала обещания по разрабатываемым документам, проекты которых уже разработаны и "вот-вот" должны быть утверждены. И такие обещания укладывались в общую картину, которая заключалась в том, что регулятор еще в 2013-м году пообещал, что за каждым требованием 17-го и 21-го, которое может быть реализовано с помощью средства защиты, будет свой руководящий документ, который и устанавливает требования к этим средствам. Логично... Но вот реальность оказалась совсем иной.

Желтое означает обещание. Зеленое - его выполнение

После того, как блогеры (читай - я) и в 2016-м, и в 2017-м годах в заметках "спросил" регулятора про его обещания, ФСТЭК стала более осмотрительной, и в 2017-м году забыла про все ранее данные обещания (хотя врядли про сами документы, которые в недрах регуляторы должны были и дальше разрабатываться и появиться как чертик из табакерки; по аналогии с РД на операционные системы, о котором в 2015-м году не упоминали, а в 2016-м уже разработали и утвердили). В 2017-м регулятор пообещал только три новых документа - по управлению потоками информации (на фоне постоянных вопросов о том, можно ли VLANами или встроенными возможностями сетевого оборудования защищать внутренние сети), по системам управления базами данных и по средствам защиты среды ввиртуализации. Но не получилось...

В 2018-м году по стране победно шел ФЗ-187 и вся конференция ФСТЭК была посвящена именно этой теме - про сертификацию не сказали ни слова. Вновь к этой теме вернулись в 2019-м году, и регулятор не только вспомнил про обещание разработать тройку РД по управлению потоками информации, СУБД и виртуализации, но и пообещал обновить 6 ранее разработанных документов - по межсетевым экранам, операционным системам, антивирусам, системам обнаружения вторжения, средствам контроля съемных носителей и средствам доверенной загрузки. Но увы, тоже не получились...

В этом году, на конференции ФСТЭК не вспоминала об обещании обновить шесть РД, ограничившись обещанием обновить только требования к антивирусам. Требования по защите виртуализации тоже не упомянули, оставив планы только на два новых документа - по управлению потоками информации и по СУБД.

И вот, мы подходим к концу 2020-го года, который ознаменовался тем, что многие сидели  по домам, не ездили в командировки, не участвовали в надзорной деятельности и, вроде бы, времени должно было быть чуть больше чем в прежние года. Но увы. Опять (буду рад ошибиться, если за оставшиеся пару недель регулятор выпустит эти документы) ничего. Опять обещания не выполнены. 

Итоги обещаний по новым РД свел в таблицу (выше). Из 19 обещанных за 6 лет документов разработано только 2 (!) и то, в 2016-м году. Обновлений ранее разработанных документов так и не случилось. Но вроде бы уже и не ждешь. Привыкли :-(

ЗЫ. У ФСТЭК был еще нигде не озвучивавшийся план по требованиям к средствам отражения DDoS-атак, но вот уже прошло больше двух лет, а документ так и не выпущен.

ЗЗЫ. А может все требования выпустили, но засекретили? И даже приказы об утверждении тоже секретные?.. 

11.12.20

Техническое задание на платформу для проведения виртуальных ИБ-мероприятий

Надысь принимал я участие в одном виртуальном мероприятии крупной ИТ-компании, которая, имея в своем портфолио решения для проведения нормальных видео-конференций и сервисов для групповой работы, почему-то выбрала Zoom. И дело не в том, что Zoom - это решение для домашнего пользования и еще долго не станет корпоративным инструментом с точки зрения отношения к ИБ, а в том, что Zoom не позволяет организовать именно конференции с разными докладчиками, в несколько потоков, с нормальной обратной связью и т.п. А тут еще прошли SOC Live и SOCstock, в которых мне тоже довелось участвовать.. Так что у меня накопилось некоторое количество наблюдений и идей, которые необходимо учитывать, чтобы превратить вебинар на стероидах, как говорит Денис Горчаков, в полноценное мероприятие, на котором интересно.

Итак, в ТЗ на организацию нормального виртуального мероприятия по ИБ я бы включил:

  1. Возможность нетворкинга. Иногда хочется просто потрепаться во время скучного или уже известного доклада. Отдельный канал/комната для этого были бы полезны.

    Здесь виден набор каналов/комнат, в которых участвует слушатель

  2. Возможность задания вопросов спикерам. Это должен делать или модератор, который разбирается в теме и выбирает из пула пришедших вопросов интересные, или сам спикер должен видеть вопросы и иметь возможность ответить на них. При этом вопросы надо задавать не в общем чате, а именно в рамках того самого выступления, которое интересует.

    Вопросы к докладчику и его докладу не смешиваются с остальными

    Можно также сделать рейтинг вопросов, чтобы сами зрители/участники могли голосовать за понравившиеся им и те, что наберут большее число баллов, сразу поднимались бы в списке вопросов на самый верх.


  3. Возможность обсуждения конкретного доклада/выступления. Иметь отдельный канал/комнату для этого очень важно. Иногда хочется поделиться своим опытом или показать себя или послушать других. Так формируется своя жизнь вокруг мероприятия, которая может быть даже ценнее трансляции самих докладов.


    И всегда под рукой хорошо иметь список всех каналов, в которых вы общаетесь.

  4. Возможность скачать материалы. Ну это очевидное требование и оно является одним из самых популярных на любом мероприятии. Но если к презентации доклада можно было бы прикладывать и еще какие-то полезные материалы, то было бы офигенно.


  5. Возможность просмотреть видео выступления еще раз. Тоже самое.
  6. Возможность организации персональных комнат для общения. Не могу сказать, что я пользовался такой возможностью где-то, но иногда во время конференции хочется задать вопрос спикеру в частном порядке. Приватный чат или отдельная комната для этого подошли бы как нельзя лучше. Правда, при условии, что докладчик к этому готов и организаторы с ним это проговорили заранее.


    Также бывает иногда нужно написать что-то другому участнику. Такая функция тоже могла бы быть полезной, хотя только в том случае, если у вас нет контактов участника и вы можете общаться только через платформу (и он захочет с вами общаться).


  7. Организация рейтинга выступлений и спикеров, чтобы сразу можно было понять (и наградить) лучших. Участникам может это и все равно, но спикерам бывает приятно, если их выступления попадают в тройку самых-самых.
  8. Возможность связаться с поддержкой для решения технических проблем и вопросов.

    Не лучший пример - время ответа поддержки прогнозировалось на уровне нескольких часов

  9. Возможность составить собственное расписание с контролем пересекающихся по времени выступлений. В онлайне пересечение, конечно, не столь критично (можно вывести на разные мониторы или в разные вкладки), но все равно было бы полезно.

    Справа область отображает ваши каналы общения, а слева общее меню мероприятия

  10. Возможность самому инициировать какие либо обсуждения (свой канал/комната).


  11. Возможность делать заметки к выступления и потом их выгружать.

    Обратите внимание на секцию Notes справа - она для собственных заметок


  12. Возможность подсвечивать важные комментарии, например, от ведущих или модераторов, уведомления от организаторов и т.п. Это можно делать как в чате/канале/комнате, так и делать общий для всего мероприятия Live Feed.


  13. Возможность геймификации в виде зарабатывания баллов за участие в тех или иных активностях онлайн-мероприятия. По сути речь идет о дополнительном вовлечении слушателей в работу онлайн-конференций.


  14. Возможность выгрузить свое расписание в виде отдельного .ics-файла для подгрузки в собственный календарь.


  15. Возможность сделать выгрузку своего расписания для удобства работы с ним или отправки друзьям и коллегам. Например, в формате Excel.


  16. Возможность напоминания о запланированных в собственном расписании докладах и сессиях.
На самом деле список функций, которыми должна обладать платформа для проведения онлайн-конференций, можно продолжать достаточно долго. И это я только набросал идей, которые были бы интересны слушателям. А ведь есть еще возможности, которые были бы востребованы организаторами и спонсорами мероприятий. Но уже по приведенному выше списку, основанному на моем опыте участия в виртуальных мероприятиях по ИБ, становится понятно, что Zoom здесь и рядом не лежал. Как, собственно, и многие другие платформы, неплохо подходящие для онлайн-совещаний,  вебинаров или дистанционного обучения, но совершенно неприспособленные именно для вовлечения людей в длительное виртуальное мероприятие.

ЗЫ. Материалы с SOC Live были опубликованы на сайте мероприятия, а видео - на Youtube. А вот материалы с SOCstock так в публичном доступе и не появились.

8.12.20

Обзор SOCstock или что я не услышал на SOC Live. Часть 2.5 :-)

Не успел закончиться SOC Live, презентации и видео с которого выложили вчера в открытый доступ, как через день в США прошло другое онлайн-мероприятие, целиком посвященное теме SOC - SOCstock. По задумке организаторов, компании Siemplify, называющей себя независимым игроком рынка SOAR №1 (просто других некупленных уже не осталось), это должно было дать отсылку к знаковому концерту в Вудстоке, который собрал всех хиппи того времени. SOCstock тоже собрал немало специалистов по SOC - по заявлениям, не менее полутора тысяч человек (в реальности - около 600), которые в течение 9 часов слушали в два потока рассказы разных экспертов о тех или иных аспектах функционирования центров мониторинга ИБ. И, как это не парадоксально, если с точки зрения концепции и формата мероприятия SOCstock и SOC Live оказались очень похожи, то по контенту они практически идеально дополняли друг друга. Если у нас больше говорилось об аутсорсинговых услугах SOC, различных кейсах при расследовании, взаимодействии с ГосСОПКОЙ, работе с заказчиками и т.п., то на супостатном SOC "Forum" больше говорили об автоматизации, персонале, выгорании, threat hunting'е, threat intelligence, зрелости SOCов и т.п. Да, там тоже была реклама, но, как правило, она была завуалирована в очень интересных докладах и докладчики не сильно злоупотребляли рассказом о местах своей работы.

Началось все с музыкальной пазой (ею же все и завершилось), в которой ветеран Вудстока бренчал на гитаре и пел заунывные песни о бренности бытия, настраивая всех на активную работу :-) Кстати, по Москве мероприятие закончилось в 3 утра.

После того, как все участники собрались и расселись по своим виртуальным местам, начался ключевой доклад от Брайна Кребса, известного ИБ-журналиста. Кстати, можно спорить о том, насколько Кребс - специалист по ИБ, но вопросов ему в онлайне задавали немало. И это было гораздо интереснее, чем слушать свадебного генерала из какого-нибудь регулятора или ведомства, с которых любят начинать российские мероприятия по ИБ. 

В последовавшей за ключевым докладом дискуссии руководители нескольких американских SOCов рассказывали о текущем состоянии своей деятельности. Пересказывать ее не имеет смысла - ее надо слушать. Кстати, о том, почему везде висит значок Zoom. В отличие от SOC Live, в котором спикеры участвовали очно из студии, спикеры SOCstock подключались с разных концов США и поэтому собрать их вместе не предстаавлялось возможным. Поэтому видео-поток с Zoom транслировался уже через платформу мероприятия. Было не так живо, как на SOC Live, но иначе и не получилось бы для такой децентрализованной страны как США. 

Затем конференция разделилась на 2 потока, в каждом из которых доклады длились по 30 минут. Кстати, мне кажется, что 30-тиминутные доклады для таких форматов (и 45 минут для дискуссий) лучше заходят, чем 20-тиминутные, как на SOC Live. По крайней мере мне не хватило этих 10 минут в обоих своих выступлениях - и про мониторинг ИБ удаленного доступа, и про две другие альтернативы между своим и аутсорсинговым SOC. Из интересных докладов я бы отметил следующие.

Gert Jan Bruggnik рассказывал про adversary playbook, инструмент, который позволяет описать профиль нарушителя, его техники и тактики, чтобы эффективно и оперативно использовать эти сведения про мониторинге и атрибуции инцидентов, а также, в большей степени, для организации red team'инга. Куча примеров, куча ссылок на различные Интернет-ресурсы, никакой рекламы (кроме своей книги). Отличный был доклад.


Не менее интересным был доклад и от компании Siemplify, которая рассказала как о том, что такое SOAR и зачем нужна автоматизации в SOC, так и привела немало сценариев, в которых автоматизация действительно помогает специалистам по мониторингу ИБ. Причем это были как достаточно стандартные сценарии типа фишинговой атаки или подбора пароля, так и менее распространенные, такие как утечка данных из облака или обработка фидов о киберугрозах во время пандемии COVID-19.      

Как я уже писал выше, некоторые доклады были не очень интересными, так слишком явно продвигали определенные продукты по ИБ. Например, из доклада про Threat Hunting я смог вытащить только этот слайд:
из доклада про EDR только этот:

а из доклада "обманного" вендора вот этот (я вообще скептически отношусь к перспективам этой технологии, помня уж три ее попытки выйти на рынок и все как-то безуспешно): 

А вот Роб ван Ос не обманул ожиданий - рассказал и о том, как оценивать эффективность (про это спрашивали многих докладчиков и участников пленарных сессий) и зрелость центра мониторинга, и какие модели использовать для оценки возможностей SOC и т.д. Кстати, на последний вопрос, как ни странно, ответ оказался не модель SOC-CMM от авторства самого Роба. В списке популярных она занимает 3-е место после MITRE ATT&CK и NIST CSF. DeTT&CT, CIS 20, CREST SOC и другие тоже были упомянуты, но они оказались не столь популярными.


Как я написал выше, одной из популярных тем SOCstock было выгорание персонала, его карьерный рост, формирование заинтересованности в работе аналитика SOC и т.п. Об этом говорили на еще парочке дискуссий, а также в докладе Аманды Феннели, CISO из Relativity. Она делилась опытом, как можно сделать SOC еще лучше, если фокусироваться не на технологиях, а на людях и процессах. 

Представитель Anomali не смог обойтись без рекламы свой платформы по анализу угроз, но очень грамотно вплел ее в рассказ о том, что такое нормальный процесс Threat Intel, чем он отличается от просто сбора фидов и какую пользу можно получить, если оперировать не просто фидами с IOCами от внешних источников (привет ГосСОПКА и ФинЦЕРТ), но и активно добавлять в них свой собственный контекст, которые сообща только и дают возможность на основе TI-процесса принимать адекватные решения, а не просто загружать индикаторы в SIEM и думать, что вот оно, счастье наступило.


Карсон Циммерман, автор руководства MITRE по "10 стратегиям первоклассного SOC", которое сейчас переводится на русский язык компанией R-Vision, рассказывал о том, как вывести обнаружение угроз на новый уровень. Подход "поставил сенсор и забыл" больше не работает и поэтому надо более внимательно относиться к покрытию SOCом различных систем, используемым технологиям мониторинга, их настройке, а не использованию "из коробки", и т.п. Примерно о том же я начал писать в ноябре и продолжу в декабре.

Еще одним хедлайнером SOCstock стал Антон Чувакин, который закрывал программу форума рассказом о том, что изменилось в SOCах за последние годы. Мне этот доклад напомнил выступление Антона в мае 2017-го года в Москве, когда Gartner собирал ограниченный круг заказчиков, для которого Антон рассказывал о SOCах и других технологиях ИБ. А может просто я слишком много материалов по SOC просмотрел "имени Gartner", что у меня уже в глаза двоится. Из интересного запомнилось заключение выступления, в котором подняли классическую тему о том, что <технология ИБ> мертва. Такое говорили о системах предотвращения вторжения, о SIEMах и вот теперь о SOCах. Антон не опроверг, но и не подтвердил этот тезис, уточнив, что если речь идет о SOC, как о помещении с плазмами, то да, такой подход мертв. И тут впору вспомнить требования ФСТЭК к SOCам, которые требуют не только указания в лицензии места совершения преступления оказания лицензируемого вида деятельности, но и аттестации информационной системы SOCа. До свидения виртуальные и мобильные SOC с распределенным персоналом. Кстати, ФСТЭК закрывает глаза на те SOCи, которые для оказания услуг используют облачные SIEM, размещенные зарубежом, а также сотрудников, которые вот уже скоро год как работающих удаленно, из дома, что, разумеется, в лицензии ФСТЭК не указано.


Вот такое было мероприятие. Материалы с него пока недоступны и не факт, что будут (кроме доступа к записи онлайн-трансляции), что не позволяет разместить ссылку на них. Но хочу вновь отметить, что программа оказалась прям дополняющей наш SOC Live, что и позволило мне в заголовке заметки написать про "часть 2.5". За сим откланиваюсь и буду готовить еще одну заметку про SOC Live, завершающую эту серию.

3.12.20

Обзор выступлений с SOC Live. Часть 2

А я продолжаю обзор презентаций, прозвучавших в рамках второго канала SOC Live. Открыл первый поток "Эффективный SOC: лучшие практики" Алексей Новиков из НКЦКИ, который... который, к сожалению, не сказал ничего нового. Вроде бы ГосСОПКА и НКЦКИ существуют уже не первый год, но доклады по-прежнему строятся вокруг "присылайте данные по инцидентам в НКЦКИ и мы обработаем их в нашей TIP". Ну, блин. Неужели нет ничего более интересного, что НКЦКИ мог бы рассказать для специалистов? Как работает TIP? Какой жизненный цикл и workflow по получаемым и обрабатываемым данным? Каково распределение по типам инцидентов за время, прошедшее с прошлого SOC Forum? Статистика должна была накопиться уже достойная и она явно не секретная, чтобы ее утаивать... Но если не хочется делиться практикой, расскажите про нормативку. Почему на методических рекомендациях по реагированию на инциденты висит "гриф"? Как решать вопрос с передачей данных об инцидентах дочкам иностранных компаний (эта тема уже несколько лет "висит" и НКЦКИ обещал ответить на нее еще в прошлом году)? Когда и какие появятся требования к средствами ГосСОПКА, о которых говорится и в приказах ФСБ и в проектах НПА Правительства и Президента по импортозамещению в КИИ? Да много каких вопросов накопилось к регулятору именно в контексте мониторинга. Но нет... Жаль...

Вторым довелось выступать мне - я заменял внезапно заболевшего Руслана Иванова из Cisco. Удивительно, что несмотря на 9 месяцев самоизоляции, которая поменяла подходы к ИБ в организациях и, соответственно, к мониторингу ИБ, про коронавирус на SOC Live не говорил почти никто. Я в презентации как раз и коснулся этого вопроса, уделив внимание тому, как мониторить удаленные рабочие места, облака, периметр, ЦОД и каналы связи. В заключение своего короткого выступления я коснулся того, как выстраивать работу самого SOC, если его аналитики сами переведены на удаленку.  Но интересующимся последней темой я бы порекомендовал статью на Хабре, где этот вопрос раскрыт более детально, чем в презентации.

Кстати, о статьях. Во вчерашнем обзоре я упомянул про секцию, в которой SOCостроители делились своим опытом ошибок. Я бы тоже хотел поделиться таким опытом, который был описан мной в статье для последнего выпуска журнала "Информационная безопасность банков". Описанные мной 12 ошибок были накоплены в результате проектов по аудиту или проектированию SOC, в которых мне довелось участвовать за последнее время (а Cisco достаточно активно занимается таким консалтингом, не обремененным сопутствующей продажей SIEMов или услуг по аутсорсингу).

Третьим в потоке выступил Иван Мелехин из Информзащиты, который поделился опытом формирования технического задания на оказание услуг по аутсорсингу функции мониторинга ИБ. Парой недель ранее команда Ивана стала победителем The Standoff в категории защитников, лучше других защитивших свои ИТ-активы и проведя расследования инцидентов в отношении их, о чем Иван скромно указал на последнем слайде своей презентации. 

Второй поток второго канала, который комментировал Алексей Комаров (возможно, он напишет об этом у себя в блоге), был посвящен технологиям SOC. Начал его Владимир Дрюков из Ростелеком-Солара, который сделал обзор того, как поменялись подходы злоумышленников и методы мониторинга и реагирования на инциденты ИБ за последние 5 лет, прошедшие со времен первого SOC Forum. 


Кстати, первый SOC Forum, прошедший в 2015-м году, коренным образом отличался от того, что происходило в этом году. Тогда я даже написал, что это был не SOC Forum, а SIEM или даже Arcsight Forum, так как очень уж много говорилось о конкретных технических решениях. Сейчас SOC Forum стал гораздо более зрелым в этом вопросе и голимой рекламы практически не было. Хотя, конечно, исключения попадали. Например, доклад представителя Security Vision, который был посвящен целиком продуктам этой компании (я даже скриншоты слайдов презентации не стал делать). В следующем докладе, Дениса Кораблева из Positive Technologies, тоже было слишком много рекламы, а именно относительно их нового продукта - песочницы, выпущенной в апреле этого года. Видимо, надо было прорекламировать это решение, обернув его в немного экспертный доклад. Вообще доклады от Позитива на SOC Live вызвали в этом году одно сожаление - наверное все усилия были потрачены на прошедший тремя неделями ранее The Standoff и все экспертные доклады остались там, а повторяться коллеги не захотели.

На продолжившемся после развлекательной ИБ-игры "Голосо истины" потоке по технологиям SOC первым выступил Дмитрий Купецкий из Fortinet. Доклад был тоже рекламным и поэтому рассказывать про него не имеет смысла. Вторым был Александр Бондаренко из компании R-Vision, который, как и я, коснулся темы новой реальности и ее влияния на ИБ, а затем, приведя много разных цифр из зарубежных отчетов по Threat Hunting и управлению активами, плавно прорекламировал новый продукт R-Vision в области обманных решений (deception). Тоже оставлю это без комментариев и скриншотов. Как по мне, так это малоперспективное направление, к которому на моей памяти индустрия ИБ обращалась уже три раза за последние лет 20+ и все без особого успеха. То есть массовым я бы это решение не назвал.

Завершавший этот поток Александр Черныхов из Крока, который напомнил слушателям, какие ключевые компоненты должны быть по его мнению в современном SOC. К ним он причислил SIEM, UEBA, SOAR и Big Data. Не знаю, я не очень согласен с такой постановкой вопроса и в этот список, как минимум, добавил бы еще TIP и THP, а к списку систем сбора событий, наряду с UEBA, добавил бы еще EDR, NTA/NDR и CASB. Но, возможно, просто времени не хватило, - все-таки за 20 минут рассказать можно не так уж и много. 

Следующий поток был посвящен людям, процессам и задачам. Открывал его Алексей Павлов из Ростелеком-Солара (кстати, имя "Алексей" было самым популярным среди спикеров SOC Live, - 9 человек носили его; еще было 4 Антона и 4 Александра). Алексей рассказывал свой опыт пресейла аутсорсингового SOCа и те проблемы, с которыми заказчики приходят в Ростелеком-Солар.

За Алексеем выступал другой Алексей, а именно Лукацкий (компания Cisco), то есть я, посвятивший это свое выступление краткому обзору возможных альтернатив построения центра мониторинга ИБ, а точнее ее ключевого компонента - системы сбора, анализа и корреляции событий ИБ (ее еще иногда называют SIEM). Помимо двух очевидных вариантов - собственный и аутсорсинговый центр мониторинга, я рассмотрел еще два, встречающиеся в тех случаях, когда у заказчика есть инструменты, но нет людей, и наоборот, есть люди, но нет инструментов для мониторинга. В этих вариантах можно использовать варианты Managed SIEM (кто-то управляет вашим, когда-то купленным SIEM) и облачные SIEM или SOC-платформа соответственно. Первый из них в России не представлен (хотя на Западе популярен), а вот второй вполне доступен. И хотя большинство игроков облачных SIEM/SOC-платформ тоже зарубежные, в России представлено, как минимум, два из них - Cisco и Microsoft.


Завершал первую часть этого потока Сергей Солдатов из Лаборатории Касперского, который описывал способы снижения ложных срабатываний в SOC за счет технологии машинного обучения, которая, будучи обученной на размеченным аналитиками данных, позволяет не только более оперативно выявлять инциденты, но и снизить число таких показателей как false negatives и false positives. 
 

После физкульт-разминки, которая напомнила многим, что разминаться надо не только виртуальным участникам SOC Live, которые 8 часов без перерыва смотрели эфир, но и аналитикам SOC, которые часто работают по 12 часов, поток продолжился. Его начал Тимур Зиннятуллин из группы компаний Angara. Он рассказывал о замечательной международной инициативе OSCD (Open Security Collaborative Development), в рамках которой осуществляется обмен опытом и подготовка практических рекомендаций и лучших практик в области ИБ. В контексте темы форума Тимур рассказывал о некоторых проектах в рамках OSCD, а именно о совместной разработке правил Sigma для обнаружения угроз, которые можно использовать в рамках тестов Atomic Red Team, обнаружения инцидентов в TheHive и Cortex, в сценариях RE&CT и т.п.    


Упомянутый ранее Алексей Павлов в своем докладе рассказывал, что меньше чем за год нельзя построить SOC. Но выступавший от имени Инфосистемы Джет Алексей Мальнев в своем докладе рассказал о том, как они построили за год целых 5 центров мониторинга на 6 различных SIEMах.


Поток "люди, процессы и задачи" завершал Алексей Лобзин из CyberART (ГК Innostage), который посвятил свое выступление тому, как бороться с усталостью аналитиков SOC и автоматизировать реагирование на инциденты. Я 2 года назад тоже касался этой темы в своем нашумевшем выступлении о том, что аналитики первой линии не нужны :-)

После небольшой минутки юмора, состоящей из выступлений "безопасного стендапа", начался круглый стол по применению SOCов на производстве и мониторинге промышленных площадок. Я на Хабре уже тоже как-то писал о нашем опыте мониторинга таких систем.

Этим круглым столом без докладов завершилась программа второго канала SOC Live. Завершаю обзор выступлений с этого мероприятия и я. Но думаю завтра я посвящу ему еще одну заметку, рассказав о том, что происходило за кулисами SOC Live (глазами стороннего наблюдателя) и какие еще фишки были предложены организаторами SOC Forum из компании Авангард-Медиа виртуальным участникам этого, одного из крупнейших российских онлайн-мероприятий по ИБ (около 10000 уникальных просмотров).  

2.12.20

Обзор выступлений с SOC Live. Часть 1

Воспев в ФБ хвалебные дифирамбы прошедшему в начале недели SOC Live, я хотел бы воспользоваться случаем и сделать краткий обзор презентаций, прозвучавших на форуме. Тем более, что я был штатным троллем комментатором 1-го канала (читай онлайн-ИБ-тамадой) и слушал их все. Так что пока воспоминания свежи, поделюсь своими впечатлениями от выступлений.

Пленарная дискуссия врядли стоит того, чтобы писать про нее отдельно. Каких-то откровений или имеющих практическую ценность мыслей не прозвучало. Хакеры атакуют... Государство регулирует... Мир во всем мире... Космические корабли бороздят.... Скучно, предсказуемо и ни о чем. Но традиция есть традиция. Жаль, что не было заявленного Виталия Лютикова из ФСТЭК и незаявленного представителя ФСБ. Видимо двум основным регуляторам по ИБ нечего сказать по теме SOC, мониторинга ИБ, реагирования на инциденты и т.п. А жаль... 

Первый поток про тренды и угрозы был по сути первым, на котором началась активная сексуальная жизнь и погружение в тему мониторинга ИБ. Доклад Игоря Залевского из Ростелеком-Солара у меня оставил смешанные ощущения. Вроде и кейсы интересные и разноплановые (инсайдеры, киберхулиганы и китайские кибершпионы), но лично мне не хватило двух вещей - списка поведенческих индикаторов по каждой из историй, а также списка рекомендаций по тому, как это можно мониторить (а в идеале и блокировать) в своей инфраструктуре. Понятно, что Солар показывал свою крутизну экспертизу, но если рассматривать SOC Forum как площадку для обмена опытом, то было бы классно, если бы менее продвинутые слушатели смогли попробовать сделать тоже самое и у себя.

Рассказ Алексея Новикова не из НКЦКИ, а из Positive Technologies, про проведенный месяцем ранее The Standoff не поразил ничем, так как по сути это была победная реляция о проведенном мероприятии без каких-либо практических выводов и рекомендаций, которые можно было бы применить в жизни. Человек слаб... Учения позволяют отработать навыки... Positive крут... Я следил за атаками на The Standoff с помощью Cisco Stealthwatch Cloud и видел многие атаки, которые там происходили, и мне кажется, что можно было бы из опыта этого мероприятия вытянуть чуть больше практических рекомендаций, которыми можно было бы поделить со слушателями SOC Live. 

А вот третье выступления в этом треке мне понравилось. Алексей Зайцев из Лаборатории Касперского делился опытом проведения тестирования защищенности организации, отличия пентестов от киберучений и redteam'инга, источниками лучших практик для них и множеством других лайфхаков. Сугубо практический доклад, по окончании которого можно было брать упомянутые ссылки и идти формировать план проверок своей защищенности или искать подрядчика для проведения внешних проверок.

После этого потока были задействованы другие форматы - викторина "Голос истины" (по примеру "100 к 1") и Анти-Пленарка с неподражаемым Алексеем Качалиным, который, пригласив на сцену ряд известных в сокостроении лиц, заставил отстаивать их определенные позиции. Было динамично, весело и время пролетело очень быстро. В отличие от утренней пленарки лично у меня появилось желание пересмотреть этот эфир и более внимательно послушать доводы каждого из участников дискуссии. Завершившая развлекательный блок "Наша игра" (догадайтесь, кто для нее писал вопросы) также прошла в ожесточенной борьбе. Оно и понятно - на кону были ценнейшие призы в виду часов Apple Watch, наушников Airpods и ТВ-приставки Apple TV. Жаль, что не смог поучаствовать в игре - все призы мне пришлись бы кстати :-) 

Следующим треком стал "Клиентский опыт построения и эксплуатации SOCов", который открыл Сергей Рысин из ГТЛК. Он описал исходную проблему с наличием инструментария мониторинга угроз, но отсутствием достаточного количества квалифицированных кадров для этого. Кто-то идет по пути найма персонала (если есть такая возможность). Кто-то идет по пути покупки услуг Managed SIEM (я про этот кейс рассказывал в своей презентации на форуме, о чем еще напишу). А кто-то переходит в аутсорсинговый SOC. Последний вариант и был выбран ГТЛК. 
 
Вообще тема аутсорсинга красной нитью проходила через форум. Оно и не мудрено - много партнеров мероприятия предоставляет такие услуги и понятно, что они вытаскивали своих заказчиков на мероприятие. Следующий выступающий, Антон Кокин из ТМК, рассказывал об опыте мониторинга ИБ в своей компании, которая выбрала гибридную модель SOC - что-то было развернуто в собственной инфраструктуре, а что-то было отдано на откуп в аутсорсинговый SOC.


Аутсорсинг - конечно, штука, полезная и интересная. И особенно там, где хочется фокусироваться на основных компетенциях, а все непрофильное отдать вовне. Но есть у этой модели (помимо всего прочего) и такой отрицательный момент, как отсутствие роста внутренних компетенций и потеря производительности. Об этой дилемме говорил Александр Лимонов из Леруа Мерлен, рассказывая про их процесс управления инцидентами, использования аутстаффинга для него. Отдельно он рассказал о том, как автоматизирован процесс реагирования на инциденты и как компания выбирала между коммерческой IRP-платформой и решениями класса open source.

Продолжился трек с клиентским опытом рассказом специалистов Банка "Санкт-Петербург", Евгения Алексеева и Дмитрия Бабкова, которые рассказали о том, как они организуют киберучения в своей организации и проверяют возможности SOCа обнаруживать и отражать спланированные атаки. Это выступление также изобиловало богатой практикой и, на мой взгляд, хорошо дополнило ранее упомянутое выступление Лаборатории Касперского про Red Team'инг.


Выступление Артема Кунгурцева из ДИТа Москвы было предельно коротким, что, как мне кажется, было обусловлено тем, что за время пандемии, когда на ДИТ Москвы было обрушено огромное количество критики за то, как работали сервисы выдачи пропусков, приложение "Социальный мониторинг" и т.п., ДИТ стал очень осторожно общаться с внешним миром и дозированно подавать информацию о том, что он делает. Поэтому каких-либо интересных деталей о том, как устроен главный московский SOC, входит ли в его область контроля видеокамеры, доступ к которым продается в Даркнете, или как мониторится блокчейн, на котором построена система выборов, мы не услышали. А жаль...


Завершал секцию клиентского опыта Антон Юдаков из Ростелеком-Солар (не совсем клиент все-таки), который приоткрывал завесу расследования и реагирования в своем SOCе. Взяв за основу схожий с Игорем Залевским, с которого я начал эту заметку, подход к рассказу - на базе кейсов, Антон добавил в презентацию то, чего не хватало Игорю, - выводы и извлеченные уроки.

Завершал этот канал поток с разбором ошибок, которые совершались в процессе построения и эксплуатации различных SOCов. Это стало отличительной особенностью SOC Live от многих других мероприятий по ИБ, на которых компании и люди деляться своими достижениями, умалчивая о своих провалах и факапах. На SOC Live не стали замыливать и эту тему - о своих ошибках рассказывали Владимир Дрюков (Ростелеком-Солар), Андрей Дугин (МТС), Владимир Дмитриев (CyberART), Тимур Зиннятуллин (Angara) и Антон Юдаков (снова Ростелеком-Солар).

 
На этом я завершу рассказ о первом канале SOC Live, который я комментировал и доклады которого я слушал. Завтра попробую описать то, что происходило на втором канале, который комментировал Алексей Комаров, но в программе которого я выступал дважды и успел послушать ряд докладов, которые были до и после моих выступлений.

ЗЫ. Предвосхищая вопрос о презентациях и видео с SOC Live. Все скоро будет выложено на сайте конференции после обработки.